升级 OpenSSL 并修复拒绝服务漏洞

OpenSSL 拒绝服务漏洞编号为 CVE-2020-1971 ，漏洞等级： 高危 ，漏洞评分： 7.5 ，当两个 GENERAL_NAME 都包含同一个 EDIPARTYNAME 时，由于 GENERAL_NAME_cmp 函数未能正确处理，从而导致空指针引用，并可能导致拒绝服务。

OpenSSL 是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份，这个包广泛被应用在互联网的网页服务器上，升级OpenSSL前务必先做好快照备份，以免操作失误导致系统崩溃。

操作流程

1、下载 openssl 源码包

目前官网最新版本为 openssl-1.1.1K ，因腾讯云团队提示升级到 openssl-1.1.1g-12.el8_3.x84_64 或更高版本，所以我们直接下载最新的。

# 最新版本号可以到openssl官方查看
wget https://www.openssl.org/source/openssl-1.1.1k.tar.gz

2、解压 openssl 源码包

tar xf openssl-1.1.1k.tar.gz
//解压源码包
cd openssl-1.1.1k
//进入openssl目录

3、编译安装 openssl 最新版本

./config --prefix=/usr/local/openssl --openssldir=/etc/ssl --shared zlib
make -j4
make install

4、备份当前的 openssl

mv /usr/bin/openssl /usr/bin/openssl.bak
mv /usr/include/openssl /usr/include/openssl.bak

5、配置使用 openssl 新版本

ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/openssl/include/openssl /usr/include/openssl

6、查看是否创建成功

ll /usr/bin/openssl;ll /usr/include/openssl

7、更新并重新加载动态链接库

echo “/usr/local/openssl/lib” >> /etc/ld.so.conf
// 更新
/sbin/ldconfig
// 重新加载

8、验证 openssl-1.1.1k 版本是否升级成功

openssl version

9、验证升级成功提示，如下：

OpenSSL 1.1.1k 25 Mar 2021 (Library: OpenSSL 1.1.1g FIPS 21 Apr 2020)

温馨提示

升级OpenSSL前务必先做好快照备份，以免操作失误导致系统崩溃。